淺談網站安全測試對電子商務平臺的影響

【摘要】網絡發展很快，網購也是一樣，像現在特別火的淘寶、京東商城、聚美優品等等，而對于電子商務來說，第一大障礙就是安全問題。對于現在很流行的網購，有第三方———支付寶來保駕護航，為網購安全帶來很大的保障。在電子商務領域，除了“網購釣魚”這種方式讓消費者的財產受到威脅外，還有一種，就是欺詐。黑客一般都是少數存在的，而網絡欺詐行為確實誰都做的出來的，因此，電子商務的安全測試或者淘寶的安全測試應該肩負起重任，讓廣大消費者不受其害。本論文就是和大家一起討論什么是網站安全測試，網站安全測試可以給電子商務平臺帶來什么樣的影響？

【關鍵詞】網站安全測試電子商務平臺

一、網站安全測試的概述

當一個網站建立完成并上傳到服務器后，就要針對這個網站進行一項一項的測試，其中有一項就是對網站的服務器安全、腳本安全、可能存在的漏洞、攻擊性、錯誤性等進行測試。它還要對電子商務的客戶服務器應用程序、數據、服務器、網絡、防火墻等進行測試，還要對相應軟件進行測試。這個就是網站安全測試。

二、網站安全測試在電子商務平臺的應用

對于電子商務平臺，要求的就是用戶登錄信息的真實性，也就是說假如網站有一天被入侵，那么消費者的真實信息就沒有很大的保障。因此，在電子商務領域，對Web應用的安全性測試是非常必要的。就如2012年12月5號人民網發布的一個新聞：日本一15歲初中生成首個因“釣魚網站”被捕案例。該男生是一名初三的學生，1月份時2他從網上下載了制作程序建立釣魚網站，冒充大型會員制交友網站后，已將騙取的數十個賬號和密碼告知另外幾人，而其作案動機只是為了炫耀。先不管他的動機是什么，像這種利用“釣魚網站”騙取基本信息的行為就本身來說應該引起大家的警示。像對于電子商務平臺，本來來說就是將實體店直接搬運到網絡，運用網絡來進行交易，這樣就省去了現金的存取麻煩，但是這樣的交易又會引起很多的隱患，因此，做好網站安全的測試對于電子商務來說非常重要。

在電子商務領域，最流行的就是網購，據中國互聯網絡信息中心的數據顯示：2010年網絡購物的市場規模超過4300億元，相較于2009年，是有大幅度增長，在這樣大的交易額前提下，有很多人就會產生惡意的想法，因此“釣魚網站”、詐騙交易、交易劫持、網銀被盜等問題相繼出現。網站安全測試是一項保障網絡與消費者權益的事件，其存在的必要性很大。

三、網站安全性測試的方法

一般來說網站安全性是從以下幾個方面著手的：（1）從注冊面著手。現在的網站一般都是采用先注冊后登陸的方式，而在注冊時，一般安全性較高的網站都會有很多提示，比如用戶名是否有效、密碼和用戶名是否配套、密碼大小寫的區分等等，這些提示就代表一層一層的安全性防護，在檢測的時候還可以進行多次嘗試，嘗試網站的各個點，看其限制有多少。最后還要看是否不用登陸就可以瀏覽。（2）從時間面著手。對于一些銀行支付網站，有一定的登陸超時限制，如果你只是登陸，然后沒有其他的操作，那么就會在到達一定的時間后直接給您下線，提示您重新登陸，因此在網站安全測試中要測試其是否得重新登陸才能正常使用。（3）從寫日志面著手。這里的日志跟我們平時寫的差不多，就是在進行網站安全監測時，會直接生產日志文件，這樣以便以后可以查看現在的區別、以前檢查的內容、解決方法等。因此，要檢查測試的相關信息是否寫進了日志文件，而這些文件是否能進行追蹤。（4）加密。文件加密、網站加密這兩點在使用加密算法時是很重要的，要測試加密是否是正確的，還有信息是否完整。網站的腳本一般來說安全性就不是很高，常常會產生一些漏洞，因此要測試腳本的編輯與放置是否需要授權的問題。

以上所說的幾個方法是一個網站安全測試最基本的方法，在一般的檢測中，要注意以上的幾個問題，一般網站也不會發生什么很嚴重的漏洞。但是如果因為偷懶沒做，就可能對網站、對電子商務造成很大的損失。

四、網站安全措施

網站安全是保證電子商務順利進行的重要保證，因此我們必須有一個完整的網站安全保護措施。

1、登錄頁面必須加密。登錄頁面加密是一個基本的防護措施，但是對于一些黑客來說是易如反掌的。因為只是對登錄面加密，卻沒有對登錄頁面加密，這就會使一些惡意黑客偽造一個登錄表單，借以訪問同樣的資源，訪問敏感的數據，這種感覺就像是在一個房間，對房間的大門加了把鎖，但是，卻沒有對房內的東西加密，這樣會使別人另外偽造一個門，從而從那邊進去。

2、采取專業工具輔助。現在大多數用戶都會用360來進行安全防護，這個是一個免費軟件，同時防護性能相對還比較高。當然還有很多其他的網站安全監測平臺，這些平臺都能幫助用戶迅速的找到網站的安全隱患，而且會幫忙做出一些防護措施。

3、通過加密連接管理你的站點。對于一些不加密的網站連接，會使一些惡意人截獲登錄信息，然后進行一些你可操作的的事。但是如果你使用了加密連接，這樣被截獲的可能性就降低了很多。

4、使用強健的、跨平臺的兼容性加密。就目前情況來看，傳輸層的安全更重要一些，這樣就是TLS比SSL更能保護網站的安全，但是要考慮的是這種加密方法不能對用戶基礎進行限制。

5、只連接安全有保障的網站。在連接網站的時候，不要連接安全特性不確定的網絡，也不要連接安全性差的網絡，如果沒有安全保障的網絡，就必須使用一個安全代理，這樣對網絡安全又增加一道砝碼。對于一些未知的，或者是必須登錄到服務器的，就必須了解其安全性，這樣才能保證信息的安全。

6、不要共享登錄的機要信息。共享在一定程度上存在的安全隱患很大，很多文件就是由于共享而被一些不是共享內的用戶給竊取的。共享的越多，公開共享的幾率就越大，這樣產生的安全隱患就越大。對于登錄憑證，不要共享，不然可能會被外網竊取。當出現問題是，想要追查緣由就很困難，同時要改變共享登錄信息，就會波及很多人。

7、采用基于密鑰的認證而不是口令認證。在一定程度上，密鑰認證比口令認證更有安全保障一些，密鑰認證時，將密鑰復制到一個早就定義好的、經過授權的系統上，這樣就會得到一個難以攻破的認證憑證。

8、維護一個安全的工作站。保障一個工作站的安全性是至關重要的，當從一個客戶端連接到一個不知道是否安全的客戶端，如果不安全，那么像鍵盤記錄器、受到惡意損害的網絡加密客戶以及黑客們的其它一些破壞安全性的伎倆都會使一些未經許可的人訪問那些敏感信息，這個時候，訪問的網站安全性再高都沒什么作用了。

9、運用備份來保護網站。現在出現了很多備份的軟件，當數據備份后，不管黑客怎么刪除你的數據，至少你還有備份，這樣就不會使數據丟失。

10、確保對所有的系統都實施強健的安全措施、而不僅運用特定的網站安全措施。采用強口令、加強外圍防御系統、及時更新軟件和為系統打補丁，同時還要關閉不使用的服務、數據加密等手段保護系統的安全。

五、小結

一個完整的安全性測試要從基礎結構、輸入驗證、身份驗證、授權、配置管理、敏感數據、會話管理、加密、參數操作、異常管理、審核和日志記錄這幾個方面入手，雖然很繁瑣，但是存在的必要不言而喻。其實真正有了網站安全測試還不是保證網站一定是安全的，但是這樣可保證網站安全系數比較高。在電子商務這個敏感的平臺，網站的安全是大家首要關注的問題。就像淘寶網，一般消費者優先相信的就是評價高，有消費者保障、7天包退等的店鋪，一般信譽越高的就會更讓大家所信賴。電子商務是一個很廣泛的平臺，不僅包括淘寶，還包括其他的一些，因此進行網站安全測試，保證在沒有第三方支付平臺保證的情況下安全使用是尤為重要的。